IEに新たなセキュリティーホール：「戻る」ボタンで攻撃開始？

　『インターネット・エクスプローラ』(IE)ブラウザーで「戻る」ボタンを押すと、ウィンドウズ・オペレーティング・システム(OS)が悪意あるハッカーの攻撃にさらされる恐れがある。

　IEのツールバーの「戻る」ボタンを押すと、IEの『インターネット・ゾーン』のセキュリティー設定が迂回され、サイトのURLに埋め込まれている悪意あるコードが自動的に実行されるというのだ。

　この問題の原因は、礼儀正しく言えばIEの設計上の欠陥だ。ウェブページの読み込みに失敗すると、IEは一般的なエラーメッセージを表示する。このメッセージは「ローカル・コンピューター・ゾーン」セキュリティー設定で機能するようになっているのだが、ローカル・コンピューター・ゾーンでは、デフォルトでスクリプトの自動実行が許可されている。

　表示しようとしたURLに何らかのコードが挿入されていた場合、それは最後に表示されたURLと同じセキュリティー・ゾーンにあるものとして処理される。そのため悪意ある『JavaScript』が含まれたURLは、ユーザーが直接そのサイトを訪れたときにはデフォルトでブロックされるが、ユーザーが「戻る」ボタンを押して表示した場合は自動的に実行されることになる。

　ウェブページがすぐに読み込まれないときに、「戻る」ボタンを押すユーザーは多い。

　このセキュリティーホールを見つけたのは、スウェーデンの工学部学生、アンドレアス・サンドブラッドさんだ。サンドブラッドさんは、昨年11月に米マイクロソフト社にこの問題を通知した。3月25日には同社に新たな情報も提供している。

　「最初は、『更新』ボタンを押したときしか、同じ現象を発生させられなかった」とサンドブラッドさんは電子メールで書いている。「これについて私は11月にマイクロソフト社に連絡し、同社はこの問題を確認した。そして2月28日に同社からメールを受け取った。『わが社の見解ではこの問題は修正が必要なほど重大ではない』という内容だった」

　「その後、私はマイクロソフト社に電子メールを送って新たな情報を提供した。『戻る』ボタンでも同じ不具合を引き起こすことが可能だと説明したのだ。その数日後に受け取ったメールには、この問題は今後リリースされるサービスパックで修正するかもしれないと説明されていた。私はマイクロソフト社に、自分はこのセキュリティーホールについて公表するつもりだが、同社が妥当な期間で修正すると私に納得させられれば、公表を待ってもいいと話した。だが同社はそれに対して全く返答をよこさなかった」

　マイクロソフト社によれば、同社のセキュリティー対応センターはサンドブラッドさんの報告を徹底的に調査し、「今回提示されたセキュリティーホールのシナリオが再現されるかどうかは、ユーザーが行なう特定の操作が前提条件となっているので、わが社の http://www.microsoft.com/technet/treeview/default.asp?url=/technet/columns/security/essays/vulnrbl.asp セキュリティー上の脆弱性の定義に該当しないと判断した」という。

　「サンドブラッドさんから報告のあったセキュリティーホールのシナリオでは、攻撃者は、悪意あるウェブサイトを訪れるユーザーに『戻る』ボタンをクリックさせなければならない。このシナリオは、通常かつ最善の使用法を実践しているユーザーには真の脅威とはならない」とマイクロソフト社は続けた。

　「戻る」ボタンの使用は、セキュリティーにとって通常かつ最善の方法ではない、とマイクロソフト社が考えているのを知って、驚いたユーザーもいた。

　「使ってほしくないなら、どうして『戻る』ボタンをIEのツールバー上に置くんだ？」と株式ブローカーのマーティン・モンテスさんは首をかしげた。「私は実際にマニュアルに目を通すという世界でも数少ないユーザーの1人だが、『戻る』ボタンを使うとシステムが危険にさらされるなんていう警告は、どこにも書いてない」

　マイクロソフト社は、「ユーザーの情報を保護する取り組みを怠ってはおらず、この問題には次回のリリースで対処する」と述べた。

　サンドブラッドさんは、今回のセキュリティーホールを偶然見つけたわけではないという。

　「私は長い間JavaScriptプロトコルに関する問題を調査してきた。そこで、履歴リストを『戻る』ボタンと一緒に使うのが、JavaScriptプロトコルを悪用する手軽な方法だと気づいたのだ。セキュリティーホールというのは、発見したとしても、悪用しにくい場合も多い。たいていは、必要となるユーザーによる操作が多すぎるのだ。だが今回のセキュリティーホールは悪用しやすい」

　サンドブラッドさんは、『ウィンドウズ2000』と『ウィンドウズXP』上の『IE 6.0』でこのセキュリティーホールをテストした。ワイアード・ニュースで行なった追加テストでは、ウィンドウズ2000、『ウィンドウズNT 5.0』、XP、『ウィンドウズ98』搭載マシンと、IE 6.0および『IE 5.5』とのさまざまな組み合わせで、このセキュリティーホールが機能することが判明した。

　このセキュリティーホールは、マックで最近のバージョンのIEを稼動させている場合や、『モジラ』や『オペラ』などのブラウザーには存在しない。『ネットスケープ』のいくつかのバージョンでテストしたところ、JavaScriptエラーが返ってきて、クラッシュした。

　米マカフィー社やフィンランドのFセキュア社によるソフトなど、一部のウイルス駆除プログラムではこのセキュリティーホールをブロックでき、『トロイの木馬』や『危険なコード』といった警告が表示される。

　『スラッシュドット』(Slashdot)サイトのある読者は、自分のシステムがこのセキュリティーホールに対して脆弱かどうかをユーザー自身が http://www.eg.bucknell.edu/~ekrout/IE_Hack.html テストできる手段を公開した。

　サンドブラッドさんは17日(米国時間)、問題の詳細をセキュリティー問題のメーリングリスト『バグトラック』(Bugtraq)に http://online.securityfocus.com/archive/1/267561 投稿した。

　その中でサンドブラッドさんは、ブラウザー問題に対する一般的な対応策――「アクティブスクリプト」を無効にすること――を提案している。また、「戻る」ボタンを使わないことも1つの選択肢だと指摘している。

　プログラマーのマイカル・ザボー氏は、「エクスプローラを使わなければならない」ウィンドウズ・ユーザーは、マシンのメイン(C)ドライブ以外にウィンドウズOSをインストールすることを検討すべきだと提案している。

　「多くのセキュリティーホールは、ユーザーのシステムについていろいろな条件を想定している。マイクロソフト社製品が稼動していること、OSは標準インストールでCドライブ上にあることなどだ。だからOSをメインドライブから移動させるか、パーティションを区切れば、悪意あるハッカーの攻撃を受けにくくなる」

　サンドブラッドさんはまた、自分が最近報告した http://online.securityfocus.com/archive/1/265459 別のセキュリティーホールについても、マイクロソフト社が修正してくれるのをまだ待っているところだ、と述べた。

　「同社はセキュリティー情報MS02-015『 http://www.microsoft.com/japan/technet/treeview/default.asp?url=/japan/technet/security/bulletin/ms02-015.asp クッキーベースのスクリプトの実行』(Cookie-based Script Execution)で修正パッチをリリースしているが、この問題の一部しか修正されていない」とサンドブラッドさんは述べた。

(WIRED 2002.4.19)